Networking/Wordpress/SSL
Dopo innumerevoli discussioni sul supporto tecnico e quasi due giorni offline posso finalmente affermare di aver passato osside.net al protocollo HTTPS (come si può notare dal lucchetto verde sul browser accanto all’indirizzo del sito). Osside.net sfrutterà inoltre HTTP2. Con SSL ci si assicura che la comunicazione non possa essere né letta né manipolata e che i dati personali non finiscano nelle mani sbagliate. Fra le altre cose oltre ad una maggior sicurezza dovrebbe garantire un miglior ranking di Google.
Come ho effettuato il passaggio:
SSL richiede la presenza di un certificato per il dominio, la maggior parte dei gestori si sono attrezzati per fornire procedure automatiche per ottenerlo tramite servizi come Let’s Encrypt integrati ad esempio in cPanel.
In pochi clic ho potuto cosi attivare un certificato sul mio sito ma questo è solo l’inizio.
Settare WordPress per lavorare in HTTPS:
In Impostazioni>Generali aggiornare Indirizzo WordPress (URL) e Indirizzo sito (URL) al nuovo protocollo sostituendo http con https.
Questo è importante per la sicurezza del vostro sito:
Redirigere le connessioni tramite .htaccess:
Tutte le pagine precedentemente indicizzate con il protocollo http saranno disponibili anche in https, senza perdere il posizionamento raggiunto su Google.
Con Filezilla, un qualsiasi gestore ftp o dal vostro gestore in cpanel editare il file .htaccess nella directory principale del sito (in genere www) e aggiungere in alto il seguente codice:
RewriteEngine On
RewriteCond %{ENV:HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Inviare la nuova Sitemap a Google:
Per generare la sitemap aggiornata è possibile usare un tool online come questo ma io consiglio l’ottimo plugin Google XML Sitemaps. La Sitemap andrà poi inserita in Google Search Console come vedremo più avanti.
Ora che abbiamo effettuato il passaggio è necessario aggiornare gli strumenti di Google.
Settare Google Analytics:
In Amministratore>Impostazioni proprietà per il vostro account modificare URL predefinito da http:// ad https:// tramite l’apposito menu a tendina:
Fare la stessa cosa in Amministrazione>Vista>Impostazioni vista.
Con queste semplici operazioni sarà possibile continuare ad utilizzare Analytics senza perdere le vecchie statistiche.
Aggiornare Google Search Console:
Google Search Console non effettua il reindirizzamento alla versione https del sito, è necessario quindi aggiungere una nuova proprietà tramite l’apposito tasto in alto a destra con l’indirizzo aggiornato.
Occorre tuttavia lasciare attiva anche la vecchia proprietà e magari aggiungere anche le versioni senza www (https://www.nomesito, https://nomesito, http://www.nomesito, http://nomesito).
Nel mio caso:
Sitemap:
Inserire l’indirizzo della nuova Sitemap all’interno della proprietà col protocollo https.
Cloudflare & Railgun:
In caso di utilizzo di Cloudflare per evitare i problemi che ho avuto io (ho lasciato il sito offline inutilmente, SSL_ERROR_NO_CYPHER_OVERLAP) eliminare il vecchio account e crearne uno nuovo con il nuovo indirizzo https, anche se verranno perse le regole e i filtri impostati. Se tutto è andato bene la scansione automatica rileverà il certificato e lo attiverà entro 24 ore senza mandare il down il sito.
Una volta fatto ciò recarsi nella sezione domini della pagina del vostro servizio di hosting e cambiare il nameserver immettendo gli indirizzi che vi sono forniti da Cloudflare.
Niente Railgun™:
Mi piaceva molto il servizio Railgun™ che avevo utilizzato in tutti questi anni ma purtroppo ho dovuto disabilitarlo poiché non compatibile con Cloudflare SSL free (mi è stata spiegata la complicata motivazione dal mio servizio di supporto). La scelta era se tornare ad HTTP con Railgun™ o rinunciarvi.
Avviso “Questa connessione non è sicura”:
Se dopo aver configurato SSL non compare nel browser il simbolo del lucchetto verde ma un errore “Questa connessione non è sicura” il sito contiene URL http verso immagini o script caricati nel sito.
Per individuare la causa degli errori è possibile usare uno di questi servizi ma anche le funzioni di sviluppo già a bordo di molti browser:
https://www.whynopadlock.com/
https://www.jitbit.com/sslcheck/
Personalmente mi sono ritrovato ad avere tutti i link dell’immagine in testa ad ogni articolo da correggere, cosa impensabile da fare a mano.
Esistono dei plugin per automatizzare il processo, uno di questi è SSL Insecure Content Fixer che offre vari livelli di intervento. Personalmente a me non ha funzionato ai primi due e non sono andato oltre per non rischiare di stravolgere elementi del sito.
Il plugin che mi ha risolto il problema è fornito da ithemes.com e si chiama Fix SSL/Non-SSL Links. Una volta installato i link http verranno tramutati in https se è in uso SSL e vicebersa se si usa una connessione standard. Importante è che non vengono toccati i collegamenti verso risorse esterne al sito che subisce comunque un piccolo rallentamento dovuto a queste modifiche.
Criptare il login di Worpress:
E’ possibile criptare la pagina di login a WordPress inserendo nel file wp-config.php il seguente codice:
define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);
Caratteristiche HTTP2:
Leave a Reply